Laut dem 2023 Data Protection Trends Report wurden 85 % der 4.200 befragten Unternehmen 2022 mindestens einmal Opfer eines Ransomware-Angriffs. Noch erschreckender war die Tatsache, dass 39 % der Produktionsdaten eines Unternehmens während dieser Angriffe entweder verschlüsselt oder vernichtet wurden und die Opfer im Durchschnitt nur die Hälfte (55 %) der betroffenen Daten wiederherstellen konnten. Da die Zahl der Cyberbedrohungen alles andere als abnimmt, überrascht es nicht, dass die meisten Unternehmen unveränderliche und Air-Gap-Technologien (d. h. ausfallsicheren Speicher) einsetzen, um sicherzustellen, dass ihre Datenwiederherstellungen durch Ransomware nicht behindert werden. In diesem Blogartikel geht es um die Unterschiede zwischen Air-Gap- und Immutable Backup-Technologien und darum, wie Unternehmen diese Lösungen in ihre Strategie für Cyberresilienz integrieren können.
Überblick über Strategien für die Cyberresilienz
Schritt 1 – Sicherstellen ausfallsicherer Backup-Ziele
Jahrzehntelang war Air-Gap-Storage für Backups die vertrauenswürdigste Option, mit der Unternehmen ihre kritischen Assets vor den meisten Bedrohungen schützen konnten. Write Once, Read Many (WORM) über Bänder oder rotierende Festplatten sorgte dafür, dass die Daten für Unternehmen nach dem Auswerfen und Auslagern an einen externen Speicherort im Falle einer Katastrophe wiederhergestellt werden konnten. Resiliente Datenspeichersysteme wie Bänder wurden seitdem weiterentwickelt, da Unternehmen immer mehr auf sicherere Architekturen und Hybrid-Cloud-Konzepte setzen. Das Konzept der Unveränderlichkeit hat sich immer weiter durchgesetzt, da es ähnliche Funktionen wie WORM bietet und weniger Aufwand für die Verwaltung der Medien erfordert, normalerweise aber nicht über das Netzwerk erreichbar ist. Bei der Entwicklung von Strategien für Cyberresilienz und Disaster Recovery können sowohl Air-Gap- als auch Lösungen auf der Grundlage des Prinzips der Unveränderlichkeit ihre Vor- und Nachteile haben. Sie können jedoch beide Technologien zusammen verwenden, um eine besonders sichere, resiliente Kopie zu erhalten.
Zum einen wird seit jeher empfohlen, für den Ausfall eines Produktionsstandorts eine Zweitkopie vorzuhalten, die nicht beeinträchtigt werden kann. Die traditionelle „3-2-1-Regel“ empfiehlt, drei Kopien Ihrer Daten auf mindestens zwei unterschiedlichen Medien aufzubewahren und eine davon extern auszulagern. Bei den meisten Veeam-Bereitstellungen sind Ihre Produktionsdaten [Kopie 1, Datenträgertyp = Festplatte], die Backup-Daten im lokalen Repository [Kopie 2, Datenträgertyp = Festplatte] und eine dritte Kopie für externe Disaster-Recovery-Zwecke [Kopie 3, Datenträgertyp = Festplatte, Cloud oder Band]. Die meisten Unternehmen haben diese Vorgehensweise übernommen und die 3-2-1-Regel zur 3-2-1-1-0-Regel erweitert, um aufgrund von Vorschriften und des ständig wachsenden Risikos durch Cyberbedrohungen auch Unveränderlichkeit und Tests einzubeziehen. Die Zusatz von „1-0“ zu dieser Regel besagt, dass eine Kopie „offline“ sein muss (d. h. nicht über Air-Gap zugänglich oder unveränderlich) und 0 Fehler (getestet und validiert) beinhaltet. Dies hilft dabei, nach jeglicher Art von Katastrophe die Wiederherstellbarkeit der Daten auf höchstem Niveau zu gewährleisten.
Schritt 2 – Reduzieren Sie Zugriffsmöglichkeiten
Dabei dreht sich alles um den Zugriff und darum, es für böswillige Akteure nicht nur schwer zu machen, auf Systeme zuzugreifen, sondern auch zu versuchen, die für die Wiederherstellung benötigten Backups zu zerstören. Daher empfehlen wir die Verwendung einer Architektur mit echter Cyberresilienz.
Hier verfügt alles an Ihrem Produktionsstandort über geeignete Zugangskontrollen. Sie können die Produktivumgebung auf verdächtige Aktivitäten überwachen und Reports erstellen, um sicherzustellen, dass alle Ihre Workloads geschützt sind und über ein unveränderliches Backup verfügen. Legen Sie anschließend die Benutzerkontenrollen für den Zugriff auf die Backup-Umgebung fest. Die Aktivierung der Multifaktorauthentifizierung (MFA) auf Ihrem Veeam-Backup-Server kann dazu beitragen, eine sicherere Umgebung zu schaffen, die die Benutzer vor Kompromittierungen schützt. Verwenden Sie anschließend ein
unveränderliches Ziel als erstes Backup-Medium für die Wiederherstellung im Falle von Bugs, Cyber-Bedrohungen oder der versehentlichen Löschung von Daten. Am wichtigsten ist es, diese Backups regelmäßig zu testen, um ihren Datengehalt zu überprüfen und sicherzustellen, dass bei der Wiederherstellung keine unvorhergesehenen Probleme auftreten. Diese Speichergeräte können von Spezialhardware über Deduplizierungsgeräte bis hin zu S3-integrierter Hardware reichen. Schließlich gibt es noch unsere Drittanbieter-Kopie, die extern gespeichert, verschlüsselt UND offline sein oder durch ein Air-Gap getrennt werden sollte. Naturkatastrophen und nicht autorisierte physische Benutzerzugriffe sind nicht die einzigen Gründe dafür, dass es vorteilhaft ist, eine abgeschottete Kopie offline und extern aufzubewahren. Datenintegrität, Rechtsstreitigkeiten sowie Regeln zur Daten-Compliance und -Aufbewahrung sind keine typischen Datenverlustereignisse, helfen aber dabei, dass Sie über saubere Kopien Ihrer Daten verfügen, die Sie für alle Anforderungen verwenden können.
Was ist ein durch ein Air-Gap getrenntes Backup?
Ein Air-Gap ist eine Möglichkeit, Ihre kritischen Daten zu isolieren, indem eine Kopie entweder physisch (indem das Band aus dem Laufwerk entfernt wird) getrennt wird oder nicht über das Netzwerk zugänglich ist (z. B. durch Deaktivierung von Netzwerk-Ports oder -Routen). Air-Gap-Backups haben zahlreiche Vorteile, zum Beispiel:
Schutz vor Ransomware und anderer Malware , da weder vom Backup-Server noch an anderer Stelle im Netzwerk auf Backups zugegriffen werden kann. Damit die Angreifer die Daten möglicherweise manipulieren können, muss die Person physisch anwesend sein und über die korrekten Anmeldedaten verfügen, um die Daten zu löschen. Wenn diese Backups ordnungsgemäß ausgeworfen/isoliert und gepflegt werden (z. B. unter Temperaturkontrolle, Schmutz/Staub, Feuchtigkeit usw.), ist die Wahrscheinlichkeit einer fehlgeschlagenen Wiederherstellung gering.
Verhinderung von unbefugtem Zugriff und Datenschutzverletzungen durch Verschlüsselung. Bei Backups – insbesondere aber solchen, die durch ein Air-Gap getrennt wurden oder sich anderweitig extern befinden – ist die Verschlüsselung der Geräte oder Medien noch wichtiger. Stellen Sie sich vor, Sie haben Ihren Domänen-Controller unverschlüsselt gesichert und dann stellt ein böswilliger Akteur Ihr Backup auf seinem Server wieder her. Derzeit können sie Ihre Anmeldedaten in aller Ruhe erfassen, um sich auf einen Angriff auf Ihre Produktionssysteme vorzubereiten. Die Verschlüsselung der Backups (besonders, wenn sie ausgelagert sind) ist ein wichtiger Schritt, um die vertraulichen Daten eines Unternehmens vor dem Zugriff durch unbefugte Benutzer zu schützen.
Wahrung der Datenintegrität, wodurch sichergestellt wird, dass Inhalte nicht in böswilliger Form verändert wurden. Sowohl Genauigkeit als auch Konsistenz sind nicht nur für die Einhaltung gesetzlicher Vorschriften entscheidend, sondern auch für eine zuverlässige Wiederherstellung. In Organisationen des Gesundheitswesens, des öffentlichen Sektors oder des Finanzsektors kann die langfristige Aufbewahrung verschiedener Datentypen viele Jahre dauern oder ganz unbegrenzt sein und in manchen Fällen die Aufrechterhaltung einer sicheren Aufbewahrungskette erfordern. Abhängig von der Einhaltung gesetzlicher Vorschriften auf Landes- oder Bundesebene können diese Anforderungen, wenn sie nicht erfüllt werden, erhebliche Geldstrafen für Organisationen nach sich ziehen, die nicht in der Lage sind, die Daten vollständig und korrekt vorzulegen.
Unveränderliche Backups
Ein unveränderliches Backup ist eine Kopie von Daten mit rollenbasierten Zugriffskontrollen und anderen Authentifizierungsarten. Sie kann erst nach Ablauf einer festgelegten Zeit verändert oder gelöscht werden. Es ist jedoch nicht „offline“ wie ein Air-Gap-Backup, da es immer noch verbunden und über das Netzwerk erreichbar ist. Es gibt zahlreiche Technologieanbieter, die diese Art der Unveränderlichkeit nutzen, sei es lokal oder in der Cloud. Dazu können Objektsperren, gesicherte Snapshots und das abgesicherte Repository von Veeam gehören. Weitere Informationen finden Sie in diesem Blogbeitrag.
Durch ein Air-Gap getrennte vs. unveränderliche Backups
Da mit unveränderlichen Backups teilweise die gleichen Ziele der Wiederherstellbarkeit verfolgt werden wie mit einem Air-Gap-Backup, gibt es sowohl Gemeinsamkeiten als auch Unterschiede. Beide bieten Schutz vor Ransomware und Daten-Compliance. Es gibt jedoch Unterschiede:
Bei herkömmlichen Air-Gap-Backups, etwa bei Bändern, können zusätzliche Kosten für die Verwaltung der Medien und die Zusammenarbeit mit den Anbietern für die ordnungsgemäße Speicherung der Medien anfallen. Das gilt auch für unveränderlichen Speicher, der exponentiell zunehmen kann, wenn sich die Datenrichtlinien ändern.
Auch die Recovery Time Objectives (RTO) sind eine Variable, die vom verwendeten Speichermedium abhängt. Ein Beispiel: Ein Kunde bemerkte beim Test der Wiederherstellungsgeschwindigkeit von der Cloud zurück in seine lokale Umgebung Netzwerkprobleme, die die Wiederherstellung desselben Datensatzes, den er zuvor vom Band wiederhergestellt hatte, verlangsamten. Es dauerte Wochen, die Inhalte wiederherzustellen, anstatt nur weniger Tage wie bei den Bändern. Eine Erhöhung der Download-Geschwindigkeiten war eine Option, aber dafür musste das aktuelle Netzwerk gegen Aufpreis überarbeitet werden. Im Gegensatz dazu konnte ein anderes Unternehmen Wiederherstellungen direkt beim Public Cloud-Anbieter durchführen und so nach einem Cybervorfall, bei dem der Zugriff auf die lokale Infrastruktur aufgrund forensischer Ermittlungen unterbrochen wurde, wochenlange Ausfallzeiten vermeiden. Das Warten auf den Abschluss der Untersuchung hätte einen Monat Ausfallzeit gekostet.
In beiden Fällen konnten die Kunden eine Strategie für die Datenresilienz entwickeln, die für sie funktionierte. Es ist jedoch keine Entweder-Oder-Situation und das eine sollte das andere nicht ersetzen. Dies verhält sich ähnlich wie bei VM-Replikaten, bei denen es sich nicht um Backups handelt (und umgekehrt). Beide Technologien sollen Unternehmen dabei helfen, Daten schneller wiederherzustellen, und wenn beide Technologien zusammen genutzt werden, erhöht sich die Chance auf eine erfolgreiche Wiederherstellung nach einem Cyber-Vorfall.
Schützen Sie Ihre Daten mit Veeam
Laut dem Ransomware Trends Report 2023 nutzen 82 % der 1.200 Unternehmen, die zuvor von Cyberangriffen betroffen waren, jetzt unveränderliche Cloud-Technologien, während 64 % unveränderliche Festplatten verwenden. 14 % geben an, dass Bänder noch immer für ihre Datensicherungsstrategie relevant sind. Unternehmen möchten zunehmend cyberresiliente Datensicherungsstrategien verwenden. Veeam baut daher weiterhin enge Partnerschaften mit Hardware- und Cloud-Anbietern auf, um die Umstellung auf unveränderliche Backup-Repositorys, Air-Gap-Lösungen oder (als Best Practice) beides zu vereinfachen. Das aktuelle Release V12 bietet Immutability für Microsoft Azure, Direct to S3 mit Immutability und Verbesserungen für Bandsicherungen. Damit können Unternehmen schnell eine weitere Abwehrebene zum Schutz vor Ransomware hinzufügen.
Klicken Sie auf den untenstehenden Link, oder erfahren Sie mehr darüber, wie Sie mit Veeam als Partner zusammenarbeiten können.